《網路安全法》正式施行 為個人資訊加把“鎖”

發佈時間: 2017-06-02 14:27:07 |來源: 人民網-人民日報 | |責任編輯: 沈曄

 

  人們在享受智慧生活的同時不應忽視潛在的資訊洩露風險。

6月1日,《中華人民共和國網路安全法》(以下簡稱《網路安全法》)正式施行。這是我國首部網路安全法,保護個人資訊是其重要內容。

近年來,我國個人資訊洩露事件頻發,竊取個人隱私手段不斷翻新,移動網際網路以及物聯網的快速發展又給網路安全帶來新的隱患——《網路安全法》值得你我共同關注。

竊取手段五花八門

點開老同學聚會照片連結,銀行賬號卻被盜

“老同學聚會拍的照片你自己看吧,哈哈,大家沒怎麼變呢。查看請點開下面連結……”不久前參加過同學聚會的郭先生收到這條短信後,沒多想就點了連結,但沒看到同學聚會的照片。幾天后他用手機登錄銀行賬戶時出現異常情況,就到銀行櫃檯詢問,結果被告知賬號已被盜。

讓郭先生中招的是一種名為“相冊”的木馬病毒,它能在手機中植入竊取資訊的惡意程式,手機感染後不僅會造成資訊洩露,甚至還可能引發財産損失。不久前,國家網際網路應急中心發佈的《2016年我國網際網路網路安全態勢綜述》(以下簡稱《綜述》)顯示,2016年共發現“相冊”類惡意程式47316個,累計感染用戶超過101萬。

“相冊”類木馬只是諸多竊取個人資訊程式中的一種。在移動網際網路時代,不法分子由傳統的倣冒網址釣魚欺詐轉變成與短信、欺詐電話、手機木馬等手段相結合的複雜欺詐,網民不需要在釣魚網站上輸入個人資訊,也可能被不知不覺地竊取資訊。

移動網際網路應用(APP)也是惡意程式的重要傳播載體。一些冒牌應用或帶有惡意程式的應用,威脅著個人資訊的安全。《綜述》顯示,2016年,國家網際網路應急中心通過自主捕獲和廠商交換獲得移動網際網路惡意程式數量205萬餘個,近7年來持續保持高速增長的態勢。

截至2016年12月,我國網民規模達7.31億人,手機網民規模達6.95億人。購物、支付類應用場景的增加,也讓個人資訊更有牟利價值。在利益驅使下,一些不法分子販賣個人資訊,甚至形成了龐大的灰色産業鏈。

安全專家、北京天融信科技有限公司副總裁唐寧表示,除了傳統病毒木馬威脅,近年來勒索軟體開始猖獗,成為面向個人資訊安全的重要威脅。典型的例子,就是不久前在全球大規模爆發的勒索蠕蟲。

另一種對個人資訊安全造成威脅的是網路運營平臺資訊洩露。2013年底,一家為全國4500多家酒店提供網路服務的公司因系統存在安全漏洞,致使全國2000萬條賓館住宿記錄洩露,洩露的資訊包括用戶姓名、證件號、聯繫方式、住宿時間等等。

國家網際網路應急中心運作部高級工程師李佳表示,網站等運營平臺的漏洞被攻破,駭客就能入侵並植入後門,造成大面積的海量資訊洩露。

李佳説,一些網路運營商、平臺服務商、手機應用還會讀取、上傳用戶的通訊錄、短信、通話記錄等資訊,而有時候用戶並不知情。

網路安全專家、綠盟科技副總裁李晨説,一些軟體也會記錄用戶上網習慣,收集賬號登錄資訊,甚至捆綁或植入其他軟體。他認為,當前駭客技術門檻變低,竊取資訊變得更加容易。與此同時,網路犯罪出現職業化的傾向,已經形成網路黑色産業鏈條,工具開發者、工具應用者和利用工具實施犯罪者都有明確的分工,形成了一套體系。

新技術成為雙刃劍

2016年監測發現超過13萬個聯網攝像頭存在漏洞

“因為網路服務升級,您所辦理的寬頻業務需要更新,收到資訊及時聯繫專線4008162378辦理變更申請……”家住北京的梁女士半年前辦理了一個寬頻套餐,這條資訊讓她差點信以為真。多虧她留了個心眼,向寬頻公司電話諮詢後才察覺這是一條詐騙短信。

儘管沒有上當,梁女士還是疑惑不解:為什麼對方知道我的真實姓名、手機號、家庭住址?這些資訊為何被洩露了?

李佳説,一些掌握了大量用戶個人資訊的傳統公司,如房産、仲介、銀行、保險、快遞等,由於內部管理不嚴等原因,個人資訊被偷偷售賣。

2015年之後,大數據技術開始進入實戰應用階段,在推進了不少行業和領域變革的同時,也對網路安全提出了新挑戰。唐寧表示,在大數據、雲計算等資訊技術的支撐下,企業收集、保存、處理數據的成本大大降低。包括個人資訊在內的數據只有通過流動、共用甚至交易才能充分發揮其社會價值、經濟價值,而這些數據在流動和交易過程中,又極易産生個人資訊擴散、失控的危險,個人隱私洩露的威脅將持續存在。

此外,隨著物聯網的興起,個人在擁抱智慧生活、享受便利的同時,也面臨著越來越多的風險。《綜述》顯示,2016年針對物聯網設備的網路攻擊增多。2016年國家資訊安全漏洞共用平臺(CNVD)收錄物聯網智慧設備漏洞1117個,主要涉及網路攝像頭、智慧路由器、智慧網關等設備,漏洞類型主要為許可權繞過、資訊洩露、命令執行等。

“萬物互聯,使資訊暴露更多端點,這就帶來了潛在的隱患。且一些智慧設備本身的防護能力比較薄弱,容易被攻擊者利用漏洞獲取設備控制許可權,或用於用戶資訊數據竊取,或用於控制形成大規模僵屍網路。”李晨説。

李佳介紹説,國家網際網路應急中心檢測發現,目前物聯網設備中各種智慧攝像頭的隱患最為嚴重。2016年,監測發現超過13萬個聯網攝像頭存在漏洞,有被駭客入侵控制的風險。“這些攝像頭未來都會連接網際網路,一旦被駭客入侵,後者就可以遠端查看攝像頭拍攝的視頻,可能導致個人資訊的洩露。”

李晨認為,個人資訊洩露之所以頻發,很重要的原因是個人資訊被暴露的環境和應用場景增加。網路犯罪是人類社會違法活動的網路化呈現,只要有利可圖就難以從根本上杜絕。

劍指資訊保護痛點

《網路安全法》規定,未經被收集者同意,不得向他人提供個人資訊

竊取個人資訊違法活動屢禁不止、打擊駭客難度大的一個重要原因,是個人資訊獲取、存儲和利用的環節更加複雜,線下和線上傳播具有隱蔽性和複雜性。與此同時,追本溯源成本高,發現、查處難度大,處罰、賠償力度小,也使販賣及非法使用個人資訊黑灰色産業鏈有了巨大的投機空間。

法律缺失也是個人資訊違法活動猖獗的原因之一。在《網路安全法》出臺之前,相關管理部門雖然制定並頒布了多個網路資訊安全的規定和辦法,但立法層級比較低,對一些網路安全違法行為界定不清晰,處罰力度不夠,缺乏足夠的威懾力。

據介紹,針對個人資訊保護的痛點,《網路安全法》在資訊收集使用、網路運營者應盡的保護義務等方面提出了明確要求。比如,網路運營者不得洩露、篡改、毀損其收集的個人資訊,未經被收集者同意,不得向他人提供個人資訊,但是經過處理無法識別特定個人且不能復原的除外。

針對取證難、追責難的困局,《網路安全法》還明確了網路資訊安全的責任主體,確立了“誰收集,誰負責”的基本原則。

李佳説,保護個人資訊,個人用戶也要提高自身安全意識。如非必要,儘量不要在一些網站上提交個人資訊;要訪問正規的網站,避免被釣魚網站騙取個人資訊等。

網路安全管理部門和産業界則呼籲,建立協同處理安全風險的機制,快速響應並加強對安全態勢的監測和感知。

國家網際網路應急中心副主任劉欣然説,當前我國處理網路安全面臨的問題主要體現在三方面:第一是注重自己的領域,行業溝通不足;第二是系統孤立,技術成果和能力難以共用;第三是在機制上缺乏標準,沒有組織化和體系化。他建議,要儘快建立監測、研判、預警、處置和追蹤的網路安全問題聯合處置機制。


新聞熱圖 >>更多